Назад | Перейти на главную страницу

mod_auth неправильный пароль аутентификации?

У меня есть сервер, на котором запущен apache2 в debian lenny.

что-то странное происходит с папками, защищенными .htaccess.

в основном, если вы вводите неправильный пароль, но он состоит из_correct_password + _more_chars, он позволяет вам войти. если вы введете неверный пароль другим способом, то, конечно же, это будет запрещено.

поэтому я спрашиваю, правильно ли это поведение? если вы сначала поставите правильный пароль + любые другие символы позволят вам ввести? как я могу заставить apache проверять точный пароль, а не правильный пароль в начале введенного пароля.

Надеюсь, я более понятно объяснил проблему :)

Вы храните пароли в классическом формате DES "crypt" (длина 14 символов, az, AZ, 0-9, "." И / или "/", например: "papAq5PwY / QQM", без знаков $ в зашифрованный пароль)?

Если да, то это объяснило бы это. Этот формат ограничен 8 символами, поэтому все, что превышает 8 символов, игнорируется. Если правильный пароль состоит из 8 (или более) символов, добавление дополнительных символов в конце не имеет значения.

Чтобы исправить это, используйте вместо этого MD5 или SHA для хранения паролей. Если вы используете "htpasswd"команда, добавить"-m" или "-s"к вашим параметрам при установке пароля.